Bloomberg’s “The Big Hack” story about hardware manipulation – is it credible?

Bloomberg published an eye-catching story on October 4th entitled “The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies” in which they described how a major US supplier of server hardware has been compromised via the supply chain. According to Bloomberg, a Chinese manufacturer added an additional tiny chip to the server motherboards that they shipped to Supermicro. This additional chip – claimed to be the size of a grain of rice – was supposedly designed and then inserted by the Chinese military as a hardware-based Trojan. The article claims that “When a server was installed and switched on, the microchip altered the operating system’s core so it could accept modifications. The chip could also contact computers controlled by the attackers in search of further instructions and code.” The manipulated mainboards were supposedly used via a US supplier by at least 30 US tech companies.

This story is a “blockbuster” story for everybody concerned with IT security. That is, if the story is true. However, in my opinion, there is still some reason to doubt these claims.

Continue reading

Researchers find vulnerabilities in popular email encryption clients – a reason to react but not to panic

Researchers have disclosed a vulnerability in popular OpenPGP and S/MIME encryption clients and plug-ins which allows an active attacker to use an email client as a “decryption oracle” (see the “EFail” homepage or their scientifc publication). In other words, if the attacker is in the possession of an encrypted email, he can craft a new email and send it to the recipient of the decrypted email. If the email client used by this recipient is vulnerable, the email client will decrypt the encrypted email and use a (hidden) backchannel to send the now decrypted message back to the attacker.
Continue reading

Healthcare in Germany – digital first?

The world is becoming digital – internet of things, artificial intelligence, social networking, and the rapid rise of technology have fundamentally changed our private and professional life. But has the German healthcare system successfully found its way into the digital era yet?

The topic of health has never been as vital to Germans as it is today, and digital innovations offer a wide range of possibilities. Health apps, wearables, and special fitness trackers are part of our modern digital world. Founded in the 1880s, the German healthcare system – with its doctors, specialists, and facilities – is one of the best healthcare systems in the world.

According to surveys, many people would be willing to use digital applications in medical care and to provide their own data for this purpose. In the context of the healthcare reform legislation passed in 2003 (Gesundheitsreform 2003), changes with digital notations were incorporated into the German Social Code, Book V, on Statutory Health Insurance Modernization (SGB V – GKV-Modernisierungsgesetz or GMG) [1].Due to the Lipobay scandal the legislature decided to introduce the electronic health insurance card (elektronische Gesundheitskarte, eGK) [2]. An electronic medication plan stored on the eGK was supposed to prevent harmful interactions of medications in the future. This application should be usable by mid 2019. In addition, the GMG established further digital applications for the eGK in the Social Code. These include the emergency data management (Notfalldatenmanagement), an electronic patient record (elektronische Patientenakte), the electronic doctor’s letter (E-Arztbrief), and the electronic patient compartment (elektronisches Patientenfach). In 2015 the E-Health Law implemented concrete deadlines and responsibilities for the introduction of these applications. And so far, the electronic physician’s letter has found its way into the digital everyday life of physicians. The radiological telekonsil, which is based on the E-Health Law, and the video consultation are of marginal importance and only apply if a doctor has already been in contact with the patient before. Continue reading

Page hijacking for dummies

In order to hijack a web page and make it distribute malicious content, an attacker usually has to find a vulnerability in the respective web server or the employed scripts. As twitter user @Random_Robbie and Kevin Beaumont [1,4] noticed, sparking an online discussion, this cumbersome process is not always necessary!

It has become common practice for web pages to load content from remote locations in order to incorporate external content, both information as well as scripts such as Javascript or PHP. Most people are not aware that when they visit a web page, it is actually composed from dozens of sources that are outside of the visited domain. If one of those links to an external resource is broken, as might easily happen during copy-pasting of code segments or the misconfiguration of yet another wordpress plug-in, the intended external content will not be loaded.

This is not necessarily a security issue. But in this specific case the link was not simply broken but referenced a file in an Amazon S3-Bucket that had not been registered…. yet. All an attacker needs to do is simply register that bucket and deploy a script file that caters to his or her needs. This is an imminent threat and is not just limited to those who use Amazon S3. Likewise, the link might have referenced a yet unregistered domain, posing the exact same risk. Still, relying on S3 makes this a little more delicate. Even if the bucket already existed, chances are you might still be able to exchange content as buckets are commonly misconfigured and writable to the public as has been revealed within the last two weeks [2,3].

Although any kind of web space can be misconfigured, this case of publicly writable buckets is S3-specific. On the other hand, loading content from non-existing sources is obviously a risk in any scenario and not limited to Amazon. What is not obvious, though, is how and why such a scenario arises.

Possible explanations are manifold, ranging from human error to malicious intent. Either way, loading content from locations that one is not in control of is, in my humble opinion, a bad habit that unfortunately evolved to be common practice.

[1] https://twitter.com/Random_Robbie/status/968386467058929664
[2] https://www.techrepublic.com/article/unsecured-amazon-s3-buckets-are-prime-cloud-target-for-ransomware-attacks/
[3] http://www.bbc.com/news/technology-42839462
[4] https://twitter.com/GossiTheDog/status/968391071049945088

Föderierte Identitäten und Single Sign-On – Wettbewerb der Systeme in Deutschland und Europa

Anbieterübergreifende Lösungen für digitale Identitäten sind einer der Schlüssel für den Ausbau digitaler Angebote. Die Vielfalt an unterschiedlichen Identifizierungsmitteln und -systemen ist für Verbraucher zunehmend ein Problem und ein Hindernis für die Nutzung neuer digitaler Dienste. Für die Anbieter können mit anbieterübergreifenden Lösungen erhebliche Kostenvorteile generiert werden, weil die teuren Prozesse der Erstregistrierung und die steigenden Anforderungen an die Datenschutz- und IT-Sicherheits-konforme Absicherung der Identitäten entfallen. Hinzu kommen Mehrwerte, die durch die anbieterübergreifende Möglichkeit der Zusammenführung von Kundendaten – im Rahmen des datenschutzrechtlich zulässigen – entstehen.

Wenig verwunderlich, dass die großen US-Plattformanbieter seit einigen Jahren das Feld des anbieterübergreifenden Identitätsmanagements besetzen. Facebook, Google, Twitter und LinkedIn bieten ihre ID als Lösung an, zunehmend ist auch die Amazon-ID als Identitätsmittel bei weiteren Anbietern im Einsatz. Die Nutzung dieser ID-Services ist allerdings unweigerlich damit verbunden, dass die großen Plattformen noch mehr gezielte Daten der Kunden bekommen: nicht nur die Nutzung der eigenen Plattformdienste, auch die Nutzung fremder Angebote können einzelnen Nutzern genau zugeordnet werden, wenn sie die jeweilige ID nutzen.

In Deutschland rüsten sich mittlerweile vier unterschiedliche Anbietergruppen, um eine von den US-Plattformen unabhängige Lösung für sogenannte föderierte Identitäten bzw. Single Sign-On anzubieten. Mit VERIMI geht ein Konsortium aus deutschen Großunternehmen an den Start, in Kürze eine in besonderem Maße Datenschutz-konforme, europäischem und deutschem Recht unterliegende Identitäts- und Zahlungsplattform aufzubauen. Mit beteiligten Unternehmen wie der Deutschen Bank, Lufthansa, Axel-Springer und der Deutschen Telekom sind Partner an Bord, die einen ganz erheblichen Kundenstamm aufweisen können, deren Identitäten sukzessive auf VERIMI-ID überführt werden könnten. Die Plattform will offen sein für beliebige Anbieter und in Kürze starten.

Unmittelbare Konkurrenz ist die Login-Allianz, ein Konsortium aus United Internet, Pro7 und RTL, die ähnliche Ziele verfolgen wie VERIMI und nach eigenen Aussagen auch mit Händlern wie Zalando kooperiert. Ein Marktstart ist noch nicht bekannt, offenbar soll der Dienst spätestens zum Inkrafttreten der ePrivacy-Verordnung verfügbar sein. Einen etwas anderen Ansatz als die beiden Plattformen verfolgt das kürzlich vorgestellte gemeinnützige Projekt ID4ME, das eine nutzerbestimmte Auswahl von Identitätsprovidern mit Hilfe von Domainnamen vorsieht. Getragen von der deutschen Registry Denic, dem Softwareprojekt Open-Xchange und dem Unternehmen 1&1 soll eine Nonprofit-Organisation in Brüssel für die Verbreitung von ID4ME werben. Ob es hier eine Zusammenführung mit der Login-Allianz geben wird – 1&1 ist Tochterunternehmen von United Internet – ist unklar.

Vierter großer Player in Deutschland ist der Staat. Auf Basis des neuen Online-Zugangsgesetzes soll ein Portalverbund von Bund, Ländern und Kommunen errichtet werden, über den Verwaltungsdienstleistungen aller staatlichen Stellen digital genutzt werden können. Teil des Portalverbundes soll, so das Gesetz, die Einrichtung von Nutzerkonten für die Bürgerinnen und Bürger sein, mit denen sie sich einheitlich gegenüber der deutschen Verwaltung identifizieren können. Dem Vernehmen nach baut der Staat hier eine eigene Lösung auf, eine Übernahme einer der oben genannten privaten Lösungen ist bislang nicht geplant.

Die Einrichtung föderierter Identitäten und eines Single Sign-On ist dabei zunächst einmal unabhängig von der Sicherheit des einzelnen Identifizierungsmittels. So haben sowohl VERIMI als auch der Portalverbund vor, den neuen Personalausweis einzubinden; bei jedem Identitätsprovider werden aber verschiedene Identifizierungsmittel möglich sein müssen, auch das schlichte Einloggen mit Benutzername und Kennwort.

 

Eine aktuelle Studie des Beratungsunternehmens Asquared hat in Europa 94 verschiedene anbieterübergreifende e-Identity-Lösungen in 30 Staaten identifiziert. Die deutsche Vielfalt und Konkurrenzsituation zeigt sich auch im europäischen Markt. Um im Wettbewerb mit den großen US-basierten Plattformen erfolgreich zu sein, muss die Zersplitterung überwunden werden. Es ist zu hoffen, dass sich Staat und private Anbieter zusammenraufen. Das klare Bekenntnis des Koalitionsvertrages von CDU/CSU und SPD vom 7. Februar 2018 lässt hoffen: Der Wille zur Förderung einer “sicheren, mobilen, digitalen Authentifizierung” sowie das Bekenntnis zur “Stärkung nationaler und europäischer Plattformen” stimmen optimistisch, dass die nächste Bundesregierung das Thema entschlossen angeht.

The future of Cloud Computing before U.S. Supreme Court

A lawsuit currently pending before the US Supreme Court has global implications and leads to concerns among data protectors, companies and associations all over the world. The lawsuit USA v. Microsoft (Case No. 17-2) concerns the extraterritorial effect of a US search warrant.

The US Supreme Court is currently considering whether Microsoft is required by the Stored Communications Act (SCA) to disclose contents from its email customers’ accounts, even if the provider is located outside of US territory.

Continue reading

“Bundestrojaner” in use, what next?

The German Ministry of Interior (BMI) has authorized the use of a new hacking tool for criminal investigations since January, according to recent reports by German daily Die Welt [1]. Like other previously deployed government Trojan programs, it is nick-named “Bundestrojaner”.  The new version, developed by Munich-based IT surveillance company FinFisher GmbH, enables criminal investigators from the German Federal Criminal Police Office (BKA) and state (Länder)  criminal police offices to access individual suspects’ devices and to surveil their real-time communication before it is encrypted by messenger programs such as WhatsApp. Officially, this surveillance procedure is referred to as “source telecommunication surveillance” (“Quellen-Telekommunikationsüberwachung”).

In summer 2017, the Bundestag had passed a law amending §100 of the German Criminal Code and extending the scope of application for surveillance measures and “source communication surveillance” in particular. But the law itself and government hacking more generally remain highly contested. Critics argue that it obstructs individuals’ privacy and harms IT security [2], [3]. The German Federal Constitutional Court might even rule parts of it unlawful. We’ll explore some of the reasons below.

Continue reading

Malvertising: The role of dynamic content and ad networks in the propagation of malicious code

Malvertising – that is the spreading of malware or fraudulent content through malicious ads on otherwise trustworthy homepages – is not only persistent but also growing as recent articles from Motherboard [1] and Ars Technica [2] suggest, both refering to a report from Cyphort as their primary source. This increase in delivery of malicious ads poses an imminent threat to users on the Internet. Ars Technica emphasises that one consortium only, consisting of 28 fake ad agencies, was able to reach 62% of ad monetized websites on a weekly basis. Continue reading

Digitalpolitischer Stillstand? Ergebnisse der Sondierung von CDU/CSU und SPD

In einem 24-seitigen Papier haben CDU/CSU und SPD am 12. Januar die Ergebnisse der Sondierungsverhandlungen zur Bildung einer neuen großen Koalition im Bund vorgestellt. Beide Seiten hatten aus den gescheiterten Jamaika-Verhandlungen gelernt und haben binnen einer Woche und weitgehend ohne öffentliche Begleitmusik ein sehr kondensiertes Regierungsprogramm vorgelegt. Darin hat auch die Digitalisierung ihren Platz: CDU/CSU und SPD wollen, so die Präambel “den digitalen Wandel .. für die Menschen positiv gestalten”. Sehr konkret werden die beiden Partner dabei nicht. Digitale Themen scheinen an vielen Stellen des Textes auf, verharren überwiegend aber bei der Definition allgemeiner Ziele.

Dies wird besonders deutlich bei gesellschaftspolitischen Kernfragen der Digitalisierung, die das Sondierungspapier jeweils nur antippt:

  • Im Bildungswesen soll eine stärkere Unterstützung der Länder durch den Bund bei Investitionen erfolgen, auch in Digitalisierung – was immer das heißt. Der vor der Wahl gescheiterte Digitalpakt zwischen Bund und Ländern findet keine Erwähnung.
  • Im Gesundheitswesen wird nur in allgemeiner Form auf die Notwendigkeit von Digitalisierungsinvestitionen in Krankenhäusern hingewiesen. Kernfragen der Gesundheitsdigitalisierung, die Zukunft der Telematikinfrastruktur oder die Öffnung für Big-Data-Anwendungen, adressiert das Papier nicht.
  • Die Digitalisierung des Arbeitsmarktes soll vor allem im Hinblick auf Clickworker (“Arbeit auf Abruf”) aufgegriffen werden, den Betroffenen “Planungs- und Einkommenssicherheit” verschafft. Wie? Das bleibt offen.
  • Die Digitalisierung im Bereich Mobilität wird vor allem auf das automatisierte Fahren bezogen, dies soll bei Infrastrukturinvestitionen berücksichtigt werden. Sonstige Rahmenbedingungen werden nicht erwähnt.

Konkreter Ankündigungen gibt es im Hinblick auf die Digitalisierung der Wirtschaft: Unternehmensinvestitionen in Digitalisierung sollen durch steuerliche Anreize gefördert werden, ebenso – lange umstritten – die Forschungsausgaben zumindest kleiner und mittlerer Unternehmen. Näheres wird sicherlich in dem noch auszuhandelnden Koalitionsvertrag vereinbart. Wirtschaftspolitisch erwartet worden war die Ankündigung, das Kartellrecht im Hinblick auf die Digitalisierung zu modernisieren. Eine spezielle Aussage zu möglicher Plattformregulierung findet sich nicht.

Naturgemäß greift das Sondierungspapier auch die Querschnittsfragen der Digitalisierung auf, zuvörderst die Infrastruktur. Die Koalition in-spe verabschiedet sich vom 50 Mbit/s-Ziel und strebt nun einen “flächendeckenden Ausbau von Gigabit-Netzen” bis 2025 an. Erlöse aus der Versteigerung von 5G-Frequenzen sollen dafür verwendet werden. Sie werden in einen Fonds eingebracht, der zweckgebunden zum Ausbau der digitalen Infrastruktur gedacht ist. Geschätzt wird ein öffentlicher Finanzierungsbedarf von 10-12 Mrd. Euro für diese Wahlperiode. Offenbar ist nicht daran gedacht, über die Versteigerungserlöse hinaus Mittel des Bundes bereitzustellen; auch die von den Jamaika-Partnern noch ins Auge gefasste weitere Privatisierung der Deutschen Telekom scheint damit vom Tisch.

Für das kurze Papier recht ausführlich sind die Aussagen zur Cybersicherheit, wenngleich nicht sehr konkret:

  • Sicherheitsstandards für “IT-Strukturen und kritische Infrastrukturen” sollen – möglich europaweit – geschaffen werden. Auf was sich das bezieht, wie es sich zu der vorhandenen KRITIS-Regulierung, dem europäischen Vorschlag zur Cybersicherheitszertifizierung und dem geplanten deutschen Gütesiegel verhält – hierzu gibt das Papier keine Hinweise.
  • Sicherheitsbehörden sollen im Internet gleichwertige Befugnisse wie außerhalb des Internets bekommen – eher ein Allgemeinplatz als eine Vereinbarung.
  • Die Zusammenarbeit von Bund und Ländern bei der Cyberabwehr soll ausgebaut und strukturell neu geordnet werden. An dieser Stelle scheint tatsächlich eine konkrete Maßnahme auf. Mit diesem Ziel im Rücken wird eine Neustrukturierung des Cyber-Abwehrzentrums unter Einbindung der Länder und eine Konsolidierung der recht unstrukturierten Landschaft von Bund-Länder-Cyber-Zusammenarbeit unumgänglich. Das wird auch Auswirkungen auf die Diskussion zwischen Polizeien, Nachrichtendiensten und IT-Sicherheitsbehörden über die Aufgabenverteilung bei der Cyber-Abwehr haben.
  • Die zwischen CDU/CSU und SPD eigentlich schon konsentierte Verschärfung der Haftung für IT-Sicherheitsmängel ist in dem Sondierungspapier nur im Kapitel Recht und dort nur sehr am Rande angedeutet. Rechtlicher Änderungsbedarf in Folge der Digitalisierung wird zumindest von den Rechtspolitikern auch bei “haftungsrechtlichen Fragen” gesehen.

Interessant ist, was fehlt: Der in der vorigen Regierung bereits konsentierte Vorschlag des Innenministers, eine Befugnis für aktive Cyberoperationen zu schaffen (“Hack-Back”) wird ebenso wenig aufgegriffen wie das in den Jamaika-Sondierungen geeinigte Thema des Umgangs des Staates mit Schwachstellen.

Aus den verschiedenen weiteren Ankündigungen zu digitalen Themen, etwa die Schaffung eines Bürgerportals, sticht ein Thema heraus: CDU/CSU und SPD wollen ein “öffentlich verantwortetes” Zentrum für Künstliche Intelligenz schaffen, gemeinsam mit Frankreich. Damit soll der Nukleus einer europäischen Initiative gebildet werden.

In der Zusammenschau vermag das Ergebnispapier der Sondierungsrunde digitalpolitisch nicht zu überzeugen. Die meisten Themen werden nur angetippt, gerade bei den großen gesellschaftspolitischen Umbrüchen durch die Digitalisierung – Arbeitsmarkt, Gesundheit, Bildung, Mobilität – sind keine Ideen der neuen “GroKo” zu erkennen. Netzpolitische Kernthemen wie Datenschutz oder die Verantwortung von Plattformen finden überhaupt keine Erwähnung. Das Papier bleibt vom Anspruch an eine moderne Digitalpolitik her weit zurück hinter Koalitionsverträgen der letzten Jahre in Ländern wie Baden-Württemberg oder Nordrhein-Westfalen.

Es ist zu hoffen, dass die nach der Billigung des Papiers durch die drei Parteien anstehenden Koalitionsverhandlungen einen “digitalen Push” für die neue “GroKo” bringen!

New powerful microarchitectural attacks threaten all modern CPUs

Two new attacks Meltdown and Spectre have been announced that can be seen as a new class of attacks that make use of so called microarchitectural features in modern CPUs. What makes these attacks special is that they do not exploit a bug in software, but exploit how modern CPUs operate and have been operating for many years.

The complexity of modern processor has been ever increasing to a degree that it is extremely hard for a developer to understand how and in what order instructions are executed on the CPU. Techniques such as out-of-order execution, branch predictions and multiple levels of caches have been integrated in modern CPUs for many years and have been constantly refined. This resulted to great improvements in computation speeds. That this speed optimization can also cause security issues has also been known. For example, implementing cryptographic algorithms on modern CPUs that do not leak sensitive data over so-called timing side-channels has been a major challenge for years. Several academic papers also showed that microarchitectural features such as shared caches can lead to significant data leakages between different processes running on the same CPU or even on multiple CPUs (see e.g. [CSAW07] [usenix14] or [SP15]).
Continue reading